package com.sys.utils;

import com.sys.entity.SysUser;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * JWT (JSON Web Token) 工具类
 * 
 * 功能说明：
 * 1. 生成JWT Token：用户登录时创建令牌
 * 2. 解析JWT Token：从令牌中提取用户信息
 * 3. 验证JWT Token：检查令牌是否有效和过期
 * 4. 密钥增强：确保签名密钥满足HS512算法要求（至少64字节）
 * 
 * JWT结构：Header.Payload.Signature
 * - Header：算法和令牌类型
 * - Payload：用户信息和过期时间
 * - Signature：签名，用于验证令牌未被篡改
 * 
 * @author Autism Intervention Team
 * @version 1.0
 */
@Component
public class JwtTokenUtil implements Serializable {

    private static final long serialVersionUID = -2550185165626007488L;

    /**
     * JWT令牌有效期（秒）
     * 从配置文件读取，默认86400秒（24小时）
     */
    @Value("${jwt.expiration:86400}")
    private long jwtTokenValidity;

    /**
     * JWT签名密钥
     * 从配置文件读取，用于签名和验证令牌
     * 生产环境请务必修改为强密码
     */
    @Value("${jwt.secret:change-me-default-secret}")
    private String secret;

    /**
     * 从Token中获取用户名（手机号）
     * 
     * @param token JWT令牌
     * @return 用户名（手机号）
     */
    public String getUsernameFromToken(String token) {
        return getClaimFromToken(token, Claims::getSubject);
    }

    /**
     * 从Token中获取过期时间
     * 
     * @param token JWT令牌
     * @return 过期时间
     */
    public Date getExpirationDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getExpiration);
    }

    /**
     * 从Token中提取特定的声明（Claim）
     * 
     * @param token JWT令牌
     * @param claimsResolver 声明解析器
     * @param <T> 返回值类型
     * @return 提取的声明值
     */
    public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    /**
     * 获取Token的所有声明（Claims）
     * Claims包含：用户ID、角色、过期时间等信息
     * 
     * @param token JWT令牌
     * @return 所有声明
     */
    private Claims getAllClaimsFromToken(String token) {
        byte[] keyBytes = strongKeyBytes(secret);
        return Jwts.parser().setSigningKey(keyBytes).parseClaimsJws(token).getBody();
    }

    /**
     * 检查Token是否已过期
     * 
     * @param token JWT令牌
     * @return true-已过期，false-未过期
     */
    public Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    /**
     * 为用户生成JWT Token（完整版）
     * 包含用户ID和角色信息
     * 
     * @param user 用户对象
     * @return JWT令牌字符串
     */
    public String generateToken(SysUser user) {
        Map<String, Object> claims = new HashMap<>();
        // 在Payload中添加自定义声明
        claims.put("userId", user.getUserId());    // 用户ID
        claims.put("role", user.getRole());         // 用户角色
        return doGenerateToken(claims, user.getPhone());
    }

    /**
     * 为用户生成JWT Token（简化版）
     * 仅包含用户名
     * 
     * @param username 用户名（手机号）
     * @return JWT令牌字符串
     */
    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return doGenerateToken(claims, username);
    }

    /**
     * 创建JWT Token的核心方法
     * 
     * @param claims 自定义声明（用户信息）
     * @param subject 主题（用户名/手机号）
     * @return JWT令牌字符串
     */
    private String doGenerateToken(Map<String, Object> claims, String subject) {
        // 确保密钥不为空
        String configured = (secret == null || secret.trim().isEmpty()) ? "change-me-default-secret" : secret;
        byte[] keyBytes = strongKeyBytes(configured);
        
        // 构建JWT：设置声明、主题、签发时间、过期时间、签名算法
        return Jwts.builder()
                .setClaims(claims)                          // 设置自定义声明
                .setSubject(subject)                        // 设置主题（用户名）
                .setIssuedAt(new Date(System.currentTimeMillis()))  // 设置签发时间
                .setExpiration(new Date(System.currentTimeMillis() + jwtTokenValidity * 1000))  // 设置过期时间
                .signWith(SignatureAlgorithm.HS512, keyBytes)  // 使用HS512算法签名
                .compact();  // 生成紧凑格式的JWT字符串
    }

    /**
     * 生成强密钥字节数组
     * HS512算法要求密钥至少64字节，不足时使用SHA-512哈希扩展
     * 
     * @param key 原始密钥字符串
     * @return 至少64字节的密钥字节数组
     */
    private byte[] strongKeyBytes(String key) {
        byte[] raw = key.getBytes(StandardCharsets.UTF_8);
        
        // 如果密钥已经足够长，直接返回
        if (raw.length >= 64) {
            return raw;
        }
        
        // 使用SHA-512哈希算法扩展密钥
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-512");
            return md.digest(raw);  // SHA-512输出固定64字节
        } catch (NoSuchAlgorithmException e) {
            // SHA-512算法理论上一定存在，此处仅作兜底处理
            // 通过重复填充的方式生成64字节密钥
            byte[] padded = new byte[64];
            for (int i = 0; i < 64; i++) {
                padded[i] = raw[i % raw.length];
            }
            return padded;
        }
    }

    /**
     * 验证Token是否有效
     * 主要检查是否过期
     * 
     * @param token JWT令牌
     * @return true-有效，false-无效
     */
    public Boolean validateToken(String token) {
        return !isTokenExpired(token);
    }
    
    /**
     * 解析JWT Token
     * 提取所有声明信息
     * 
     * @param token JWT令牌
     * @return 声明对象（包含用户信息）
     */
    public Claims parseJWT(String token) {
        byte[] keyBytes = strongKeyBytes(secret);
        return Jwts.parser()
                .setSigningKey(keyBytes)     // 设置签名密钥
                .parseClaimsJws(token)       // 解析JWT
                .getBody();                  // 获取Payload部分
    }
}